Riflessioni su conservazione, cybersecurity e data protection.
di Luciano Quartarone, CISO & Data Protection Officer di Archiva Group
9 settembre 2020 - 9 settembre 2023: sono ormai passati tre anni da quando l’Agenzia per l’Italia Digitale ha pubblicato le Linee Guida sulla formazione, gestione e conservazione di documenti informatici, successivamente aggiornate a maggio 2021 e attuative in via esclusiva a partire dal primo gennaio successivo. In questi tre anni le pubbliche amministrazioni, così come le aziende private, in attuazione delle disposizioni del codice dell’amministrazione digitale (il CAD, D.lgs 82/2005), hanno dovuto valutare e adattare i processi operativi interni e le soluzioni software a loro supporto. Le aziende private, in particolare, hanno dovuto ricercare e individuare l’ormai noto Responsabile della conservazione al quale assegnare un’ampia gamma di compiti che fino a quel momento, forse in modo molto inconsapevole, ricadevano sul conservatore. Possiamo dire, dunque, che trascorsi tre anni nulla di più rimane da fare o nulla di nuovo ci aspetta per il futuro?
Personalmente non credo.
Alcune considerazioni
Quando mi è capitato di assistere clienti o supportare Maxwell Consulting (azienda di Archiva Group, operante in ambito GRC) nella consulenza ad altre realtà, ho spesso trovato limitate conoscenze specifiche sul tema della conservazione e una superficiale comprensione del nuovo testo normativo. Questa condizione, che può definirsi normale dato che non tutte le aziende hanno come core business “la conservazione”, lascia aperti ampi spazi di miglioramento nei processi aziendali e nelle competenze delle persone in essi coinvolte.
Sono ben poche le organizzazioni che hanno saputo vedere la profondità e l’estensione del nuovo impianto normativo, del quale possiamo dire che, sebbene sia valido ad oggi solamente entro i nostri confini nazionali, ha intersezioni con norme tecniche e regolamenti internazionali: GDPR e Cybersecurity in primis. Vediamo insieme il perché.
Oramai sappiamo, o dovremmo sapere, che oggetto della conservazione, secondo le citate Linee Guida, sono i documenti informatici, ovvero documenti elettronici che sono rappresentazione di atti, fatti e dati giuridicamente rilevanti. Non esiste un elenco ufficiale ed esaustivo, o parziale, delle tipologie documentali che devono essere conservate per obbligo di legge. Ed è proprio qui che si insinua il primo grande errore che tipicamente commettono le aziende: non si conservano documenti che, al contrario, devono essere conservati perché non vengono ritenuti, erroneamente, “documenti informatici”. Così come spesso si crede che la cybersecurity, la sicurezza informatica, sia affare del solo reparto IT, o ICT, o questione facilmente risolvibile spendendo tanti soldi nell’acquisto dell’ultima versione del software o dell’hardware di protezione, spesso si crede che la conservazione, che è tema diverso dalla più elementare archiviazione, sia affare del solo ufficio legale o della segreteria di direzione e che con una semplice “cartella di rete”, si possa assolvere a tutti gli adempimenti richiesti dalla normativa. Non vengono dunque presi in considerazione né by design, né by default, gli elementi caratteristici di cybersecurity e data protection che sono intimamente legati fra di loro e con la Conservazione: quella fatta a regola d’arte. Come garantisco riservatezza, integrità e disponibilità delle informazioni? Come proteggo i dati e le persone fisiche i cui dati personali sono contenuti all’interno dei documenti che sto conservando o archiviando?
E-mail, PEC, transazioni elettroniche, Note spese, Consent Collector: cosa dobbiamo conservare?
È ora chiaro che spesso non vengono considerati delle tipologie documentali che, al contrario, devono essere conservate e così si rischia di incappare in errori il cui risvolto e impatto è valutabile solo nel tempo: quando quel documento ci occorrerà per difenderci in giudizio, ad esempio, e non avremo elementi per sostenere il mantenimento della sua integrità, disponibilità o riservatezza. L’esempio più calzante e vicino a ciascuna realtà aziendale sono le e-mail e, in modo specifico, le PEC. La Posta Elettronica Certificata rientra fra la corrispondenza aziendale cui si riferisce il codice civile, all’articolo 2220, per la quale sono prescritti 10 anni di conservazione. Non dobbiamo pensare che una mail “ordinaria” non possa contenere messaggi, magari con allegati, giuridicamente rilevanti e quindi non debba essere conservata. Occorre fare delle valutazioni puntuali e, quindi, anche questo tipo di corrispondenza, valutata singolarmente sulla base del loro effettivo contenuto, può dover essere portata in conservazione.
Un altro esempio, che ancor di più non viene sempre considerato, è il caso delle basi dati e tutte le transazioni elettroniche memorizzate su una qualche forma di database. Infatti, pensare che il documento informatico sia solamente la rappresentazione digitale, per immagine, PDF o XML, di un documento cartaceo, è abbastanza limitante. Molti prodotti software memorizzano all’interno di database elementi variabili di un template documentale che successivamente un motore di document composition riassembla in una forma e in un formato più congeniale per la lettura umana. Le note spese, ad esempio, rappresentano bene questa circostanza per diversi motivi. Innanzitutto, le diverse voci che compongono le nostre note spese vengono registrate all’interno di una base dati assieme all’immagine degli scontrini e delle fatture portate dal trasfertista a giustificazione delle spese sostenute. Questi scontrini non sono “originali unici”. Le informazioni in essi contenuti, infatti, esistono prima altrove: guarda caso, in altri database, o meglio nelle infrastrutture che ne hanno gestito il pagamento elettronico. Il PDF che tipicamente viene generato successivamente alla fase di data entry è solo una sintesi di altre informazioni e altri documenti, i quali meritano ugualmente di essere conservati. Nessuno di noi, però, pensa alla conservazione di queste basi dati. Possiamo pensare, ancora, ai consensi che un visitatore o un utente di un servizio web esprime verso chi eroga quel servizio web. Questi consensi sono collegati ad una specifica finalità di trattamento, per la quale sono state certamente individuate una data di inizio e una data di fine trattamento oppure, per lo meno, un criterio che determina la durata del trattamento stesso. Queste informazioni, raccolte e mantenute sicuramente per tutta la durata del trattamento dei dati personali, vengono memorizzate all’interno di varie strutture dati, quando non in documenti cartacei, che devono essere ugualmente preservate. Non è dunque la sola “rappresentazione” del consenso che deve essere memorizzata, ma anche i dati e le informazioni che la determinano. Che forma e come vengono raccolti questi consensi? Sul mercato esistono diversi prodotti “consent collector”, alcuni dei quali vantano certificazioni o compliance al GDPR. Su questo mi limito ad osservare che al momento non esistono meccanismi di certificazione di prodotti che possano attestare la “conformità” al GDPR ai sensi degli artt. 42, 43. Dovremmo però sapere che esistono norme internazionali dedicate proprio a questo tema specifico, come ad esempio la ISO/IEC TS 27560:20231 o la ISO/TS 17975:20222, in ambito medico.
Una volta che abbiamo “il dato”, o meglio il documento informatico, memorizzato all’interno del nostro sistema di conservazione, come possiamo garantire, su base permanente, il mantenimento della sua riservatezza, integrità e disponibilità? Siamo certi di sapere dove risiedono i dati all’interno del nostro perimetro aziendale e come sono protetti?
Il problema può essere osservato ed affrontato sotto diverse prospettive e profili che inevitabilmente si intersecano e convergono verso il comune intento di protezione delle persone fisiche tramite la protezione dei loro dati.
È facile comprendere che l’assenza di una dettagliata cartografia dei dati mina alla base la possibilità sia di trattare dati in modo corretto e consapevole, sia di proteggere tali dati e, ancora prima, le infrastrutture tecnologiche che li raccolgano, strutturano, memorizzano, conservano e, magari stupirà, cancellano. Un bel problema per il sistema di conservazione e per i sistemi di gestione documentale in genere. Potrebbe sembrare un paradosso, ma per poter conservare correttamente, a volte, occorre anche poter cancellare o distruggere i dati e i loro supporti di memorizzazione. Quanti hanno, per esempio, implementato processi coerenti con la norma UNI CEI ISO/IEC 219643? Questa norma la cito non per nulla: ne sono co-editor, assieme a Fabio Zanoli, in un progetto di UNINFO che ha avuto Fabio Giuseppe Ferrara come convenor.
Di fatti, se chiediamo ai nostri IT Manager informazioni sull’infrastruttura, ci aspettiamo di ricevere risposte concrete. Se agli stessi IT Manager chiediamo quali tipologie di dati transitano all’interno dell’infrastruttura IT, il più delle volte non otteniamo una risposta convincente. E se è vero che il mondo esterno, prima ancora di quello interno alla nostra azienda, fonte di minaccia e origine di attacchi cyber, è per lo più ignoto, come possiamo proteggere ciò che non conosciamo da ciò che ignoriamo e che non possiamo predire?
Ritengo che il primo passo fondamentale sia mappare sia i dati, sia i flussi informativi, avendo cura di evidenziare tutti gli input, gli attraversamenti e gli output. È cioè necessario stabilire e mantenere attivi e aggiornati dei processi operativi di mappatura dell’esposizione “internet” e “intranet” (termine dal sapore vintage) della nostra organizzazione.
Questa esposizione non si limita ai server utilizzati per l’erogazione del servizio di conservazione, ma deve considerare anche eventuali ed ulteriori servizi applicativi di supporto e la possibile presenza di credenziali di accesso alla nostra infrastruttura all’interno di un data-leak che potrebbero ora essere in vendita in un qualche market, per pochi dollari.
Piccole somme di denaro che, se non spese, corriamo il rischio che nostri dati vengano utilizzati da parte di una qualche gang per strutturare e avviare un attacco cyber. Dobbiamo avere un punto di osservazione anche su ciò che circonda la nostra organizzazione: il cosiddetto contesto che spesso è banalizzato con elementari descrizioni. È altresì necessario stabilire, e vigilare, sulla corretta applicazione di politiche e procedure per l’uso corretto degli asset informatici, valutando, ad esempio, l’effettivo beneficio e vantaggio dell’introduzione di politiche BYOD4. Siamo sicuri di potere e sapere proteggere dispositivi non di proprietà dell’azienda allo stesso modo degli altri asset aziendali?
L’utilizzo di dispositivi non strettamente controllati, da parte di dipendenti, dei collaboratori o dei fornitori, altro non fa che aumentare la superficie di attacco, con somma gioia degli attaccanti. È necessario quindi censire e monitorare costantemente tutti gli accessi logici e fisici alla nostra infrastruttura, facendo test periodici, sia per il mondo fisico sia per quello digitale. È necessario strutturare servizi applicativi isolati, ovvero indipendenti gli uni dagli altri, racchiudendo ogni singolo sistema informatico all’interno di una bolla applicativa autonoma, avendo cura di separare bene i sistemi informatici utilizzati per l’erogazione di servizi di business da quelli a supporto dell’operatività quotidiana dell’azienda.
La gestione dei dati da molteplici prospettive.
Anche nella gestione dei dati abbiamo molteplici prospettive.
Una prima prospettiva è certamente quella del fornitore del servizio di conservazione che, su specifico mandato del suo cliente, mantiene all’interno della propria infrastruttura IT dei dati, che possono essere dati personali, come definiti all’articolo 4 del Regolamento (UE) 2016/679, oppure dati non personali come definiti all’articolo 3 del Regolamento (UE) 2018/1807.
Sulla prima tipologia, in particolare, insiste una ulteriore e duplice prospettiva: quella dell’interessato5 il quale ha delle lecite e insite aspettative circa il trattamento dei propri dati personali e quella del Titolare del trattamento che vive le aspettative dell’interessato come requisito minimo funzionale per il servizio di conservazione e che richiede al Conservatore l’applicazione di misure di sicurezza. Quest’ultima richiesta spesso nasce dalla “capogruppo”, che porta a trattare tutti i fornitori esterni allo stesso modo, sottoponendo dei questionari di valutazione il più delle volte poco pertinenti o che comunque non tengono in considerazione gli sforzi compiuti dal conservatore per raggiungere determinati traguardi di sicurezza.
Fino a quando esisteva l’istituto dell’accreditamento per i conservatori, e quindi esistevano i Conservatori Accreditati presso AgID, esisteva anche un meccanismo di certificazione di terza parte che, sulla base di una lista di riscontro redatta da AgID stessa, portava i diversi conservatori ad avere una serie di processi e di procedure, uniformi, costantemente valutati e monitorati. Ad oggi questo manca. Oggi esiste un marketplace dei conservatori, al quale devono iscriversi i soggetti che vogliono erogare il servizio di conservazione alla pubblica amministrazione, PA che, in deroga, può scegliere di rivolgersi ad un soggetto non presente all’interno del citato marketplace che ad oggi conta 65 soggetti, non esattamente coincidenti con i precedenti “Conservatori accreditati”. A questi soggetti è richiesto di autocertificare la conformità rispetto ad un insieme, discutibile nella sua formulazione, di requisiti generali, di qualità, di sicurezza e di organizzazione interna. Qualora il servizio di conservazione venisse erogato in modalità SaaS, tramite il cloud, allora si rende necessaria l’iscrizione anche al marketplace dei servizi cloud. Dal 19 gennaio 2023 il processo di qualificazione per i soggetti pubblici e privati che intendono fornire servizi cloud alla Pubblica amministrazione è passato da AgID all’Agenzia per la Cybersicurezza nazionale (ACN). ACN ha stabilito percorsi specifici per la qualificazione dei servizi cloud, prevedendo un regime transitorio vigente dal 19/01/2023 al 31/01/2024, e un regime ordinario, attuativo dal 1/02/2024. Questo percorso di qualificazione si somma al futuro del servizio fiduciario nazionale di conservazione. La pubblicazione della nuova versione di eIDAS6, auspicabile per la fine di questo anno, introdurrà il nuovo servizio fiduciario di eArchiving che, a differenza della versione vigente, non riguarderà la sola conservazione di firme, sigilli o certificati elettronici, e interesserà i “general data”, ovvero tutto: tutto ciò che si vuole, o deve, conservare. Dovranno poi essere determinate delle norme tecniche per i sistemi di conservazione, norme ulteriori rispetto agli standard internazionali già esistenti, oppure una loro “aggregazione” e “selezione”.
Non è infatti plausibile che gli attuali standard indicati nell’allegato 4 delle LLGG7 e la struttura dei metadati descritta nell’allegato 5, possa essere così come è stata formulata, recepita per intero a livello europeo. Se non bastasse, arriva ad arricchire un panorama già denso di disposizioni normative, anche la Direttiva (UE) 2022/2555, più nota come direttiva NIS2, la quale ricomprende i fornitori di servizi fiduciari (europei) fra i settori ad alta criticità e questo implica la necessità per il service provider di allinearsi alla strategia di cybersecurity definita, per l’Italia, da ACN8. L’estensione della NIS2 è, in generale, molto più ampia del passato.
Lato GDPR non vi sono, per fortuna mi verrebbe da dire, nuove edizioni o aggiornamenti normativi in vista. Quel che si spera si concretizzi nel giro di qualche mese è l’adozione di uno schema di certificazione rispetto la “EN 17799 - Personal data protection requirements for processing operations“ e la “EN 17926 - Privacy Information Management System per ISO/IEC 27701 - Refinements in European context”, che possano permettere di “certificare” il processo di conservazione anche rispetto l’applicazione del GDPR.
Il legame fra tutti questi aspetti normativi, tecnici e di processo è la formazione. Formazione specifica non solo dei “tecnici” che a diverso titolo e per ambiti specifici intervengono nelle attività operative, ma formazione anche del middle management e dell’alta direzione che per prima deve comprendere la necessità di allocare le risorse necessarie a progettare, erogare e mantenere servizi allineati alle esigenze di business e conformi ai requisiti normativi tempo per tempo vigenti. Le norme della famiglia ISO/IEC 2700x insegnano bene come deve essere inteso il termine “risorse”. Anche nell’ambito della formazione, la normazione accreditata viene in supporto con norme tecniche specifiche che definiscono le conoscenze e competenze richieste alle figure professionali operanti in abiti quali la sicurezza delle informazioni e la protezione dei dati personali.
Vi sono dunque, diversi aspetti che portano a pensare che le attività collegate all’applicazione delle Linee Guida sulla formazione, gestione e conservazione di documenti informatici, non possano, a distanza di tre anni dalla loro prima pubblicazione, ritenersi concluse. Questo sia perché sicuramente c’è una evoluzione normativa che a breve potrebbe richiedere di rivedere l’interno impianto di metadati associati al documento informatico, al fascicolo informatico ed alle altre aggregazioni documentali, sia perché le interazioni con ulteriori ambiti, quali quello della cybersecurity e della data protection, implicano la strutturazione di processi operativi per i quali non è possibile fissare una data di fine, richiedendo essi stessi una continua valutazione ed un continuo miglioramento.
1.ISO/IEC TS 27560:2023 Privacy technologies — Consent record information structure.
2.ISO/TS 17975:2022 Health informatics — Principles and data requirements for consent in the collection, use or disclosure of personal health information.
3.UNI CEI ISO/IEC 21964 Tecnologie informatiche - Distruzione dei supporti di dati
4.Bring your own device.
5.Sebbene manchi una definizione formale di interessato, questa può essere ricvata dalla definizione di "dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato")
6.REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE
7. Linee guida sulla formazione, gestione e conservazione dei documenti informatici, AgID, maggio 2021.
8.Strategia Nazionale di Cybersicurezza 2022 -2026: https://www.acn.gov.it/strategia/strategia-nazionale-cybersicurezza